为何必须停止禁用UAC

Noah Heckman //

Windows Vista在Windows社区中并不受欢迎（说得委婉些）。它引入了新用户界面、文件结构，以及一大堆烦人的弹窗，询问你是否真的要执行刚刚要求运行的软件。

许多系统管理员觉得这很烦人，但更令人烦恼的是终端用户不断打电话抱怨这个问题。当时有个简单的解决方案：直接禁用它。
随着时间的推移，部分人重新启用了UAC，而另一些人则没有——反而让禁用UAC的组策略对象（GPO）至今仍保留在他们的活动目录中。然而，对于那些重新启用的人来说，他们再次被提醒UAC有多烦人以及它引发了多少问题。当然，这是一把双刃剑，因为UAC对我们的对手也同样烦人。

那么UAC具体做什么？UAC在你登录后立即开始工作。它检查你的账户是否是系统管理员，如果是，UAC子程序会有效地将账户分割为高权限和低权限账户。它将管理操作锁定在管理员令牌后面，当你尝试执行高权限进程时，会提示你批准，如下所示。

这被称为管理员批准模式，不需要用户输入密码。在我看来，这个窗口应该显示“警告！此进程正尝试执行管理操作。你预期此应用程序会这样做吗？”因为当它打断你重要的电子表格会话时，含义正是如此。如果你正在执行一个只需要低权限活动的进程，却看到这个提示，你应该立即停止！
关于管理员批准模式的一个常见问题是“这安全吗？进程不能替用户点击‘是’并执行负载吗？”不完全如此；普通UAC和管理员批准UAC提示都应该在Windows安全桌面环境中出现。当这种情况发生时，只有特定进程可以与之交互。具体来说，是登录用户的explorer.exe进程。因此，一般来说，恶意软件无法简单地“点击是”。当然，存在一系列UAC绕过攻击试图颠覆这些保护，所以它并非万无一失，但相比禁用UAC，它显著提高了系统的安全态势。

如果这还不足以让你确保启用UAC，那么宏呢？UAC保护计算机免受恶意宏的侵害程度超乎你的想象。当然，如果宏尝试访问或修改敏感系统对象，它会如上所述触发提示，但许多人不知道的是，当你禁用UAC时，你也禁用了网络标记（MoTW）。MoTW用于标记从不可信位置下载到计算机的文件，例如从互联网下载或作为电子邮件附件发送的文件。Office应用程序和其他Windows进程会查找这个“标记”，并基于它限制某些操作，直到你批准为止。

这就是为什么当你在内部共享上打开带有宏的Excel文档时，它不会提示你“启用编辑”并退出Microsoft Office的受保护视图。如果你的安全团队正在推送GPO设置以“阻止从互联网下载的文件中的宏”，这也依赖于MoTW。因此，如果UAC被禁用，文档将没有MoTW属性，有时会在不提示的情况下运行宏，这使得网络钓鱼攻击终端用户变得轻而易举。另一个与MoTW相关的重要功能是Windows智能屏幕，它旨在防止执行不可信代码。智能屏幕基于许多上述相同原则操作，通过在安全桌面上提示用户，询问他们是否真的要执行不可信程序。同样，这有助于防止许多初始入侵攻击。

作为防御者，我们不仅需要确保这些保护措施处于活动状态，还要利用它们来发挥我们的优势。阻止从互联网下载的文档中的宏是一个很好的起点。确保在系统上启用Windows智能屏幕。为了更进一步，考虑防止终端用户能够通过“仍然运行”按钮绕过它。这将强化你的系统，使攻击更难获得立足点。所有这些设置都可以通过GPO或Intune策略管理，并以最小影响推送到环境中。安全计划的基础建立在良好沟通之上。因此，如果你收到IT员工、开发人员或终端用户的投诉，请花时间解释底层过程。在他们眼中，UAC只是一种烦恼，标准的“因为安全部门这么说”回应不会说服他们。我们都很忙，但现在花时间教育我们的员工有助于防止未来出现像引发本文的误解配置。

准备好了解更多？
通过Antisyphon的实惠课程提升你的技能！
Pay-Forward-What-You-Can培训
提供实时/虚拟和点播选项